RFID世界網(wǎng) >
技術(shù)文章 >
支付 >
正文
RF-SIM卡的多應(yīng)用COS研究與設(shè)計(jì)
作者:李春豐,李代平,歐陽(yáng)小星,馬海峰,劉瑞玲
來(lái)源:RFID世界網(wǎng)
日期:2011-10-31 09:26:41
摘要:隨著芯片技術(shù)的發(fā)展以及運(yùn)營(yíng)商之間的業(yè)務(wù)擴(kuò)展,手機(jī)智能卡將會(huì)向多應(yīng)用平臺(tái)方向發(fā)展。就是在多應(yīng)用要求下,重點(diǎn)對(duì)文件系統(tǒng)、安全機(jī)制和雙通道通信管理進(jìn)行研究與設(shè)計(jì)。最后基于RF-SIM卡設(shè)計(jì)了一種多應(yīng)用COS(智能卡操作系統(tǒng))結(jié)構(gòu)和實(shí)現(xiàn)了一個(gè)簡(jiǎn)單原型,具有較高的穩(wěn)定性和安全性,對(duì)其他研究人員設(shè)計(jì)多應(yīng)用COS有一定的借簽價(jià)值。
1 前言
隨著芯片技術(shù)的發(fā)展以及運(yùn)營(yíng)商之間的業(yè)務(wù)擴(kuò)展,手機(jī)智能卡將會(huì)突破個(gè)人身份識(shí)別的單應(yīng)用平臺(tái)向多應(yīng)用平臺(tái)方向發(fā)展,特別是移動(dòng)支付平臺(tái)。如今芯片生產(chǎn)商已經(jīng)開(kāi)發(fā)出了支持2.4 GHz頻率的RF-SIM 卡,它是接觸式智能卡與非接觸式智能卡的結(jié)合,在設(shè)計(jì)上,接觸式界面遵守ISO7816 接口標(biāo)準(zhǔn),非接觸式界面采用2.4G ISM頻段進(jìn)行通信。在硬件實(shí)現(xiàn)上,RF-SIM 卡有三芯片、雙芯片和單芯片三種硬件實(shí)現(xiàn)架構(gòu)方式[1] (如圖1)。在安全方面,數(shù)據(jù)采用自動(dòng)TDES 加密技術(shù)進(jìn)行空中傳輸,防止竊聽(tīng)數(shù)據(jù),在刷卡時(shí)采用雙向認(rèn)證的安全機(jī)制,所以它是可靠的連接和安全的通信。另外,在不用更換手機(jī)的前提下,RF-SIM卡能夠完成更多手機(jī)終端無(wú)法完成的功能,所以基于RF-SIM卡的多行業(yè)多應(yīng)用服務(wù)平臺(tái)具有廣闊的前景。在這個(gè)平臺(tái)體系里,COS(Chip Operating System)是非常重要的,它既要管理底層硬件高效地工作,又要保證上層應(yīng)用安全地運(yùn)行。所以本文的目的就是設(shè)計(jì)一種基于RF-SIM卡的多應(yīng)用COS結(jié)構(gòu)。
雖然智能卡芯片的硬件資源有限,但是COS結(jié)構(gòu)設(shè)計(jì)的要求卻并不低,它需要綜合考慮功能、性能、可移植性、可擴(kuò)展性、靈活性和復(fù)雜度等諸多因素的要求:(1)功能上不但要求SIM 卡端能夠?qū)崿F(xiàn)電信方面的應(yīng)用,而且還要求非接觸式界面端能夠?qū)崿F(xiàn)無(wú)線方面的應(yīng)用,如公交IC 刷卡。(2)性能要求是指能在有效的時(shí)間內(nèi)利用有限的存儲(chǔ)空間完成系統(tǒng)要求的功能。(3)可移植性要求COS能夠方便地移植到其他環(huán)境中運(yùn)行。(4)可擴(kuò)展性是指多應(yīng)用平臺(tái)能夠方便地?cái)U(kuò)展上層業(yè)務(wù)功能,方便地增加、修改和刪除上層應(yīng)用的功能模塊。最后從實(shí)現(xiàn)環(huán)節(jié)上還需要考慮系統(tǒng)的靈活性和復(fù)雜性要求。如今常見(jiàn)的COS結(jié)構(gòu)模型有簡(jiǎn)單結(jié)構(gòu)、層次結(jié)構(gòu)、微內(nèi)核結(jié)構(gòu)和外核結(jié)構(gòu)4種,其特性分析詳見(jiàn)表1。
3.1 多應(yīng)用文件系統(tǒng)的設(shè)計(jì)
多應(yīng)用平臺(tái)的設(shè)計(jì)本質(zhì)上就是設(shè)計(jì)多應(yīng)用文件系統(tǒng),并在此基礎(chǔ)上安全運(yùn)行多個(gè)應(yīng)用。所以文件系統(tǒng)是COS 的核心,它不僅負(fù)責(zé)存儲(chǔ)、管理和維護(hù)卡內(nèi)存儲(chǔ)的數(shù)據(jù)而且為上層應(yīng)用提供統(tǒng)一的透明訪問(wèn)機(jī)制。具體設(shè)計(jì)方案如下。
3.1.1 多樣性存儲(chǔ)設(shè)計(jì)
SIM 卡的文件結(jié)構(gòu)遵守GSM11.11 規(guī)范,是以MF為根,DF為枝葉和EF為葉的樹(shù)形結(jié)構(gòu)(如圖3)[2],而RF端的文件結(jié)構(gòu)卻可能沒(méi)有統(tǒng)一的規(guī)范,它可能是某行業(yè)通用結(jié)構(gòu)也可能是運(yùn)營(yíng)商的私有結(jié)構(gòu)。因此,文件格式具有多樣性,為方便管理和解決文件系統(tǒng)間格式混亂問(wèn)題,把存儲(chǔ)空間分成基本文件區(qū)、應(yīng)用文件區(qū)(如GSM文件區(qū)和Mifare 文件區(qū))和未分配存儲(chǔ)區(qū)三部分。其中不僅每部分區(qū)域連續(xù)分配,而且每個(gè)應(yīng)用文件系統(tǒng)也是連續(xù)分配存儲(chǔ)空間(如圖4)?;疚募^(qū)存儲(chǔ)各文件系統(tǒng)的公共信息和注冊(cè)信息,如空間分配情況表、GSM文件和Mifare 文件注冊(cè)表、全局安全信息等。GSM文件結(jié)構(gòu)區(qū)以隱式鏈接方式存儲(chǔ)結(jié)構(gòu),用目錄項(xiàng)表示MF、DF、EF之間的邏輯結(jié)構(gòu),分配連續(xù)區(qū)域存放目錄項(xiàng);統(tǒng)一把DF、EF放在實(shí)體文件區(qū)。Mifare 文件實(shí)際上就是一種結(jié)構(gòu)化的記錄塊文件,結(jié)構(gòu)規(guī)范、管理較簡(jiǎn)單、存儲(chǔ)較方便,所以可以把該區(qū)域按記錄形式存儲(chǔ)操作。未分配存儲(chǔ)區(qū)的容量是該芯片的大小減去應(yīng)用文件區(qū)的大小,所以它是應(yīng)用文件區(qū)的空間補(bǔ)集。它的作用主要有兩方面:(1)為新應(yīng)用分配存儲(chǔ)空間:在卡片運(yùn)營(yíng)過(guò)程中,如果需要安裝新的應(yīng)用軟件AppS1,那么從該區(qū)域劃分等于或微大于AppS1 的存儲(chǔ)空間安裝它并且注冊(cè)在應(yīng)用文件區(qū)中,剩下的空間成為新的未存儲(chǔ)分配區(qū)。(2)作為掉電保護(hù)的備份區(qū)之一。
為多個(gè)文件系統(tǒng)設(shè)置統(tǒng)一的文件API接口,使上層應(yīng)用能夠共享一套接口函數(shù)和存儲(chǔ)管理機(jī)制。對(duì)此具體設(shè)置了5 個(gè)API 訪問(wèn)接口函數(shù):FS_SeleteFile(選擇文件),F(xiàn)S_CreateFile(創(chuàng)建文件),F(xiàn)S_DeleteFile(刪除文件),F(xiàn)S_ReadFile(讀文件),F(xiàn)S_WriteFile(寫(xiě)文件)。
3.1.3 文件安全性設(shè)計(jì)
智能卡的安全性就是對(duì)卡片內(nèi)數(shù)據(jù)對(duì)象訪問(wèn)的安全控制能力,卡片安全體系的總體結(jié)構(gòu)分為安全屬性、安全狀態(tài)和安全機(jī)制[3]。對(duì)于文件對(duì)象而言,首先設(shè)置多個(gè)級(jí)別的安全屬性增強(qiáng)安全級(jí)別的靈活性和多樣性設(shè)置,然后采取先鑒權(quán)后操作的訪問(wèn)機(jī)制,也就是說(shuō)只有在鑒權(quán)通過(guò)時(shí)才能夠執(zhí)行后繼操作,若不通過(guò),則拒絕訪問(wèn),例如選擇文件,創(chuàng)建文件都必須通過(guò)要SCB(Secure Control Byte)字節(jié)的鑒權(quán)操作,如GSM11標(biāo)準(zhǔn)里的PIN碼、PUK碼和CDM碼的共同構(gòu)成SCB。
3.1.4 環(huán)境的適應(yīng)性設(shè)計(jì)
一般來(lái)說(shuō),智能卡的應(yīng)用環(huán)境是比較惡劣的,特別是供電不穩(wěn)定和存儲(chǔ)介質(zhì)壽命約束問(wèn)題。所以為保證系統(tǒng)的穩(wěn)定性和延長(zhǎng)卡片壽命設(shè)計(jì)了掉電保護(hù)和均衡磨損機(jī)制[4]。掉電保護(hù)是指在寫(xiě)數(shù)據(jù)塊時(shí),先把更新區(qū)數(shù)據(jù)備份到其他區(qū)域,防止在寫(xiě)數(shù)據(jù)過(guò)程中系統(tǒng)掉電而破壞原數(shù)據(jù)區(qū)的數(shù)據(jù),可以從備份區(qū)把數(shù)據(jù)重新寫(xiě)回。具體算法如圖5 所示(例如數(shù)據(jù)B要寫(xiě)到數(shù)據(jù)A區(qū)域)。
3.2 多應(yīng)用安全機(jī)制的設(shè)計(jì)
具體的單應(yīng)用系統(tǒng)平臺(tái)中,一般都設(shè)計(jì)了規(guī)范的或者行業(yè)間私有的安全機(jī)制,所以本部分重點(diǎn)討論多文件系統(tǒng)環(huán)境下的安全問(wèn)題。
3.2.1 數(shù)據(jù)內(nèi)容安全管理:對(duì)文件中的數(shù)據(jù)進(jìn)行加密來(lái)保證內(nèi)容的安全,因?yàn)榧词箶?shù)據(jù)被非法讀取,竊取的也只是密文,破解難度大。
3.2.2 非法越界管理:多應(yīng)用文件系統(tǒng)的最大威脅就是非法越界訪問(wèn)其他文件系統(tǒng)數(shù)據(jù),所以必須設(shè)計(jì)防止多應(yīng)用文件間非法越界訪問(wèn)的安全機(jī)制[5]:因?yàn)楦魑募到y(tǒng)的存儲(chǔ)空間是連續(xù)分配的,物理地址的范圍可表述為Addr[上界,下界],所以可以通過(guò)Addr 中的上界和下界進(jìn)行匹配隔離方式防止越界訪問(wèn),這樣就如同在文件系統(tǒng)的上界和下界處設(shè)置了一道堅(jiān)固的隔離墻。
3.2.3 交互行為安全:某些事務(wù)邏輯中,需要在一次原子性操作過(guò)程中訪問(wèn)兩個(gè)或以上的文件系統(tǒng),如用手機(jī)銀行為公交IC 卡充值。在交互過(guò)程中,設(shè)置日志管理機(jī)制來(lái)保證事務(wù)邏輯的原子性。為保證多個(gè)應(yīng)用系統(tǒng)間交互操作的行為安全,建立信任機(jī)制,采用雙向鑒權(quán)方式來(lái)增強(qiáng)行為安全的可信度,同時(shí)使用數(shù)字簽名認(rèn)證方式來(lái)界定安全責(zé)任,因?yàn)檫@種方式具有不可抵賴(lài)性。
3.3 雙通道通信設(shè)計(jì)
RF-SIM卡具有接觸和非接觸兩個(gè)界面,因此它存在SCD(接觸式7816 接口)和SCR(非接觸式RF接口)兩個(gè)邏輯傳輸通道。兩個(gè)通道既能夠獨(dú)立地進(jìn)行數(shù)據(jù)傳輸又需要相互協(xié)調(diào)工作,當(dāng)然也跟智能卡芯片內(nèi)核密切聯(lián)系,它們之間的調(diào)用關(guān)系如圖6 所示。
4 實(shí)驗(yàn)測(cè)試
經(jīng)過(guò)對(duì)各功能模塊進(jìn)行認(rèn)真研究、仔細(xì)分析和逐步細(xì)化的過(guò)程,最后設(shè)計(jì)出基于RF-SIM卡的多應(yīng)用COS結(jié)構(gòu)圖(圖7)。隨后在此COS結(jié)構(gòu)基礎(chǔ)上設(shè)計(jì)實(shí)驗(yàn)方案:硬件平臺(tái)是以AT90SC320288RCT 安全芯片為基礎(chǔ)的RF-SIM芯片卡,編譯工具使用的是IAR EWAVR4.3A 開(kāi)發(fā)平臺(tái),應(yīng)用層設(shè)計(jì)了GSM 應(yīng)用和RF 應(yīng)用。GSM 應(yīng)用是以電信EVDO 卡為例設(shè)計(jì),RF 應(yīng)用則以公交IC卡為例,在EVDO卡部分,文件模塊、安全模塊、命令模塊和通信模塊遵守GSM11.11 系列規(guī)范和ISO 7816 規(guī)范。RF 應(yīng)用方面,射頻通信符合ISO/IEC 14443系列標(biāo)準(zhǔn),文件系統(tǒng)采用MAFIRE I 格式結(jié)構(gòu)。同時(shí)設(shè)計(jì)了STK菜單,支撐GSM應(yīng)用和公交IC 卡的數(shù)據(jù)交互。最后經(jīng)過(guò)編碼、內(nèi)部測(cè)試、仿真、卡片下載流程之后,基本實(shí)現(xiàn)了電信EVDO卡和公交IC 卡的功能與性能等方面的要求,從而驗(yàn)證了本設(shè)計(jì)方案的可行性。但是本方案只是在結(jié)構(gòu)上預(yù)留了其他應(yīng)用接口,而對(duì)應(yīng)用的動(dòng)態(tài)更新還有待研究。
在多應(yīng)用環(huán)境下,重點(diǎn)對(duì)文件系統(tǒng)、安全機(jī)制和雙通道通信管理進(jìn)行了研究與設(shè)計(jì),最后基于RF-SIM卡設(shè)計(jì)了一種多應(yīng)用COS結(jié)構(gòu)和實(shí)現(xiàn)了一個(gè)簡(jiǎn)單原型,具有較高的穩(wěn)定性和安全性,對(duì)其他研究人員設(shè)計(jì)多應(yīng)用COS有一定的借簽價(jià)值。
隨著芯片技術(shù)的發(fā)展以及運(yùn)營(yíng)商之間的業(yè)務(wù)擴(kuò)展,手機(jī)智能卡將會(huì)突破個(gè)人身份識(shí)別的單應(yīng)用平臺(tái)向多應(yīng)用平臺(tái)方向發(fā)展,特別是移動(dòng)支付平臺(tái)。如今芯片生產(chǎn)商已經(jīng)開(kāi)發(fā)出了支持2.4 GHz頻率的RF-SIM 卡,它是接觸式智能卡與非接觸式智能卡的結(jié)合,在設(shè)計(jì)上,接觸式界面遵守ISO7816 接口標(biāo)準(zhǔn),非接觸式界面采用2.4G ISM頻段進(jìn)行通信。在硬件實(shí)現(xiàn)上,RF-SIM 卡有三芯片、雙芯片和單芯片三種硬件實(shí)現(xiàn)架構(gòu)方式[1] (如圖1)。在安全方面,數(shù)據(jù)采用自動(dòng)TDES 加密技術(shù)進(jìn)行空中傳輸,防止竊聽(tīng)數(shù)據(jù),在刷卡時(shí)采用雙向認(rèn)證的安全機(jī)制,所以它是可靠的連接和安全的通信。另外,在不用更換手機(jī)的前提下,RF-SIM卡能夠完成更多手機(jī)終端無(wú)法完成的功能,所以基于RF-SIM卡的多行業(yè)多應(yīng)用服務(wù)平臺(tái)具有廣闊的前景。在這個(gè)平臺(tái)體系里,COS(Chip Operating System)是非常重要的,它既要管理底層硬件高效地工作,又要保證上層應(yīng)用安全地運(yùn)行。所以本文的目的就是設(shè)計(jì)一種基于RF-SIM卡的多應(yīng)用COS結(jié)構(gòu)。
雖然智能卡芯片的硬件資源有限,但是COS結(jié)構(gòu)設(shè)計(jì)的要求卻并不低,它需要綜合考慮功能、性能、可移植性、可擴(kuò)展性、靈活性和復(fù)雜度等諸多因素的要求:(1)功能上不但要求SIM 卡端能夠?qū)崿F(xiàn)電信方面的應(yīng)用,而且還要求非接觸式界面端能夠?qū)崿F(xiàn)無(wú)線方面的應(yīng)用,如公交IC 刷卡。(2)性能要求是指能在有效的時(shí)間內(nèi)利用有限的存儲(chǔ)空間完成系統(tǒng)要求的功能。(3)可移植性要求COS能夠方便地移植到其他環(huán)境中運(yùn)行。(4)可擴(kuò)展性是指多應(yīng)用平臺(tái)能夠方便地?cái)U(kuò)展上層業(yè)務(wù)功能,方便地增加、修改和刪除上層應(yīng)用的功能模塊。最后從實(shí)現(xiàn)環(huán)節(jié)上還需要考慮系統(tǒng)的靈活性和復(fù)雜性要求。如今常見(jiàn)的COS結(jié)構(gòu)模型有簡(jiǎn)單結(jié)構(gòu)、層次結(jié)構(gòu)、微內(nèi)核結(jié)構(gòu)和外核結(jié)構(gòu)4種,其特性分析詳見(jiàn)表1。
3.1 多應(yīng)用文件系統(tǒng)的設(shè)計(jì)
多應(yīng)用平臺(tái)的設(shè)計(jì)本質(zhì)上就是設(shè)計(jì)多應(yīng)用文件系統(tǒng),并在此基礎(chǔ)上安全運(yùn)行多個(gè)應(yīng)用。所以文件系統(tǒng)是COS 的核心,它不僅負(fù)責(zé)存儲(chǔ)、管理和維護(hù)卡內(nèi)存儲(chǔ)的數(shù)據(jù)而且為上層應(yīng)用提供統(tǒng)一的透明訪問(wèn)機(jī)制。具體設(shè)計(jì)方案如下。
3.1.1 多樣性存儲(chǔ)設(shè)計(jì)
SIM 卡的文件結(jié)構(gòu)遵守GSM11.11 規(guī)范,是以MF為根,DF為枝葉和EF為葉的樹(shù)形結(jié)構(gòu)(如圖3)[2],而RF端的文件結(jié)構(gòu)卻可能沒(méi)有統(tǒng)一的規(guī)范,它可能是某行業(yè)通用結(jié)構(gòu)也可能是運(yùn)營(yíng)商的私有結(jié)構(gòu)。因此,文件格式具有多樣性,為方便管理和解決文件系統(tǒng)間格式混亂問(wèn)題,把存儲(chǔ)空間分成基本文件區(qū)、應(yīng)用文件區(qū)(如GSM文件區(qū)和Mifare 文件區(qū))和未分配存儲(chǔ)區(qū)三部分。其中不僅每部分區(qū)域連續(xù)分配,而且每個(gè)應(yīng)用文件系統(tǒng)也是連續(xù)分配存儲(chǔ)空間(如圖4)?;疚募^(qū)存儲(chǔ)各文件系統(tǒng)的公共信息和注冊(cè)信息,如空間分配情況表、GSM文件和Mifare 文件注冊(cè)表、全局安全信息等。GSM文件結(jié)構(gòu)區(qū)以隱式鏈接方式存儲(chǔ)結(jié)構(gòu),用目錄項(xiàng)表示MF、DF、EF之間的邏輯結(jié)構(gòu),分配連續(xù)區(qū)域存放目錄項(xiàng);統(tǒng)一把DF、EF放在實(shí)體文件區(qū)。Mifare 文件實(shí)際上就是一種結(jié)構(gòu)化的記錄塊文件,結(jié)構(gòu)規(guī)范、管理較簡(jiǎn)單、存儲(chǔ)較方便,所以可以把該區(qū)域按記錄形式存儲(chǔ)操作。未分配存儲(chǔ)區(qū)的容量是該芯片的大小減去應(yīng)用文件區(qū)的大小,所以它是應(yīng)用文件區(qū)的空間補(bǔ)集。它的作用主要有兩方面:(1)為新應(yīng)用分配存儲(chǔ)空間:在卡片運(yùn)營(yíng)過(guò)程中,如果需要安裝新的應(yīng)用軟件AppS1,那么從該區(qū)域劃分等于或微大于AppS1 的存儲(chǔ)空間安裝它并且注冊(cè)在應(yīng)用文件區(qū)中,剩下的空間成為新的未存儲(chǔ)分配區(qū)。(2)作為掉電保護(hù)的備份區(qū)之一。
為多個(gè)文件系統(tǒng)設(shè)置統(tǒng)一的文件API接口,使上層應(yīng)用能夠共享一套接口函數(shù)和存儲(chǔ)管理機(jī)制。對(duì)此具體設(shè)置了5 個(gè)API 訪問(wèn)接口函數(shù):FS_SeleteFile(選擇文件),F(xiàn)S_CreateFile(創(chuàng)建文件),F(xiàn)S_DeleteFile(刪除文件),F(xiàn)S_ReadFile(讀文件),F(xiàn)S_WriteFile(寫(xiě)文件)。
3.1.3 文件安全性設(shè)計(jì)
智能卡的安全性就是對(duì)卡片內(nèi)數(shù)據(jù)對(duì)象訪問(wèn)的安全控制能力,卡片安全體系的總體結(jié)構(gòu)分為安全屬性、安全狀態(tài)和安全機(jī)制[3]。對(duì)于文件對(duì)象而言,首先設(shè)置多個(gè)級(jí)別的安全屬性增強(qiáng)安全級(jí)別的靈活性和多樣性設(shè)置,然后采取先鑒權(quán)后操作的訪問(wèn)機(jī)制,也就是說(shuō)只有在鑒權(quán)通過(guò)時(shí)才能夠執(zhí)行后繼操作,若不通過(guò),則拒絕訪問(wèn),例如選擇文件,創(chuàng)建文件都必須通過(guò)要SCB(Secure Control Byte)字節(jié)的鑒權(quán)操作,如GSM11標(biāo)準(zhǔn)里的PIN碼、PUK碼和CDM碼的共同構(gòu)成SCB。
{$page$}
3.1.4 環(huán)境的適應(yīng)性設(shè)計(jì)
一般來(lái)說(shuō),智能卡的應(yīng)用環(huán)境是比較惡劣的,特別是供電不穩(wěn)定和存儲(chǔ)介質(zhì)壽命約束問(wèn)題。所以為保證系統(tǒng)的穩(wěn)定性和延長(zhǎng)卡片壽命設(shè)計(jì)了掉電保護(hù)和均衡磨損機(jī)制[4]。掉電保護(hù)是指在寫(xiě)數(shù)據(jù)塊時(shí),先把更新區(qū)數(shù)據(jù)備份到其他區(qū)域,防止在寫(xiě)數(shù)據(jù)過(guò)程中系統(tǒng)掉電而破壞原數(shù)據(jù)區(qū)的數(shù)據(jù),可以從備份區(qū)把數(shù)據(jù)重新寫(xiě)回。具體算法如圖5 所示(例如數(shù)據(jù)B要寫(xiě)到數(shù)據(jù)A區(qū)域)。
3.2 多應(yīng)用安全機(jī)制的設(shè)計(jì)
具體的單應(yīng)用系統(tǒng)平臺(tái)中,一般都設(shè)計(jì)了規(guī)范的或者行業(yè)間私有的安全機(jī)制,所以本部分重點(diǎn)討論多文件系統(tǒng)環(huán)境下的安全問(wèn)題。
3.2.1 數(shù)據(jù)內(nèi)容安全管理:對(duì)文件中的數(shù)據(jù)進(jìn)行加密來(lái)保證內(nèi)容的安全,因?yàn)榧词箶?shù)據(jù)被非法讀取,竊取的也只是密文,破解難度大。
3.2.2 非法越界管理:多應(yīng)用文件系統(tǒng)的最大威脅就是非法越界訪問(wèn)其他文件系統(tǒng)數(shù)據(jù),所以必須設(shè)計(jì)防止多應(yīng)用文件間非法越界訪問(wèn)的安全機(jī)制[5]:因?yàn)楦魑募到y(tǒng)的存儲(chǔ)空間是連續(xù)分配的,物理地址的范圍可表述為Addr[上界,下界],所以可以通過(guò)Addr 中的上界和下界進(jìn)行匹配隔離方式防止越界訪問(wèn),這樣就如同在文件系統(tǒng)的上界和下界處設(shè)置了一道堅(jiān)固的隔離墻。
3.2.3 交互行為安全:某些事務(wù)邏輯中,需要在一次原子性操作過(guò)程中訪問(wèn)兩個(gè)或以上的文件系統(tǒng),如用手機(jī)銀行為公交IC 卡充值。在交互過(guò)程中,設(shè)置日志管理機(jī)制來(lái)保證事務(wù)邏輯的原子性。為保證多個(gè)應(yīng)用系統(tǒng)間交互操作的行為安全,建立信任機(jī)制,采用雙向鑒權(quán)方式來(lái)增強(qiáng)行為安全的可信度,同時(shí)使用數(shù)字簽名認(rèn)證方式來(lái)界定安全責(zé)任,因?yàn)檫@種方式具有不可抵賴(lài)性。
3.3 雙通道通信設(shè)計(jì)
RF-SIM卡具有接觸和非接觸兩個(gè)界面,因此它存在SCD(接觸式7816 接口)和SCR(非接觸式RF接口)兩個(gè)邏輯傳輸通道。兩個(gè)通道既能夠獨(dú)立地進(jìn)行數(shù)據(jù)傳輸又需要相互協(xié)調(diào)工作,當(dāng)然也跟智能卡芯片內(nèi)核密切聯(lián)系,它們之間的調(diào)用關(guān)系如圖6 所示。
4 實(shí)驗(yàn)測(cè)試
經(jīng)過(guò)對(duì)各功能模塊進(jìn)行認(rèn)真研究、仔細(xì)分析和逐步細(xì)化的過(guò)程,最后設(shè)計(jì)出基于RF-SIM卡的多應(yīng)用COS結(jié)構(gòu)圖(圖7)。隨后在此COS結(jié)構(gòu)基礎(chǔ)上設(shè)計(jì)實(shí)驗(yàn)方案:硬件平臺(tái)是以AT90SC320288RCT 安全芯片為基礎(chǔ)的RF-SIM芯片卡,編譯工具使用的是IAR EWAVR4.3A 開(kāi)發(fā)平臺(tái),應(yīng)用層設(shè)計(jì)了GSM 應(yīng)用和RF 應(yīng)用。GSM 應(yīng)用是以電信EVDO 卡為例設(shè)計(jì),RF 應(yīng)用則以公交IC卡為例,在EVDO卡部分,文件模塊、安全模塊、命令模塊和通信模塊遵守GSM11.11 系列規(guī)范和ISO 7816 規(guī)范。RF 應(yīng)用方面,射頻通信符合ISO/IEC 14443系列標(biāo)準(zhǔn),文件系統(tǒng)采用MAFIRE I 格式結(jié)構(gòu)。同時(shí)設(shè)計(jì)了STK菜單,支撐GSM應(yīng)用和公交IC 卡的數(shù)據(jù)交互。最后經(jīng)過(guò)編碼、內(nèi)部測(cè)試、仿真、卡片下載流程之后,基本實(shí)現(xiàn)了電信EVDO卡和公交IC 卡的功能與性能等方面的要求,從而驗(yàn)證了本設(shè)計(jì)方案的可行性。但是本方案只是在結(jié)構(gòu)上預(yù)留了其他應(yīng)用接口,而對(duì)應(yīng)用的動(dòng)態(tài)更新還有待研究。
在多應(yīng)用環(huán)境下,重點(diǎn)對(duì)文件系統(tǒng)、安全機(jī)制和雙通道通信管理進(jìn)行了研究與設(shè)計(jì),最后基于RF-SIM卡設(shè)計(jì)了一種多應(yīng)用COS結(jié)構(gòu)和實(shí)現(xiàn)了一個(gè)簡(jiǎn)單原型,具有較高的穩(wěn)定性和安全性,對(duì)其他研究人員設(shè)計(jì)多應(yīng)用COS有一定的借簽價(jià)值。